Azure Sentinel Lab - Log Failed RDP Attacks

Descrição

O Script feito em Powershell nesse repositório é responsável por analisar as informações do Windows Event relacionadas a ataques RDP Brute Force (Remote Desktop Protocol). Quando atuando em conjunto com uma API de geolocalização aberta e com o Azure Sentinel configurado e conectado a uma máquina virtual atuando como honey pot, é capaz de mostrar as informações geográficas dos ataques e sua posição no mapa mundi do Azure Sentinel.

Principais pontos do projeto:

• Desenvolvimento de script PowerShell personalizado para extrair metadados do Windows Event Viewer e fazer o encaminhamento à API open source para tratar os dados e mostrar geolocalização dos eventos.
  
  
• Configuração do Log Analytics Workspace no Azure para inserir logs personalizados contendo informações geográficas (Latitude, Longitude, Estado e País).
  
  
• Configuração de campos personalizados no Log Analytics Workspace do Azure para mapeamento de dados geográficos no Azure Sentinel.
  
  
• Configuração do Azure Sentinel (Cloud SIEM) workbook para exibir ataques globais (RDP brute force) em um mapa de acordo com a localização e magnitude dos ataques.
  
  
• Criação e configuração de máquinas virtuais no Azure

Linguagens

• PowerShell: Extração dos logs de Logon do Windows Event Viewer

Utilidades

• ipgeolocation.io: Retorna informações geográficas de um determinado IP

Ataques vindo da Russia sendo registrados em log com informações geográficas

Mapa Mundi mostrando últimos ataques RDP registrados ao redor do mundo com informações geográficas.